Ansprüche nach der DSGV wegen eigenmächtiger Verarbeitung von Kundendaten auf privatem Account
LG Baden-Baden v. 24.8.2023, 3 S 13/23
Der Sachverhalt:
Die Klägerin hatte im Juni 2022 bei dem beklagten Unternehmen einen Fernseher und eine Wandhalterung erworben. Dabei wurden ihr der Name und ihre Anschrift erfasst. Wenige Tage darauf gab sie die Wandhalterung wieder zurück, wobei ihr versehentlich der wesentlich höhere Kaufpreis für den Fernseher erstattet wurde. Als der Irrtum bemerkt wurde verfasste eine Mitarbeiterin des Unternehmens über ihren privaten Account eines sozialen Netzwerks noch am gleichen Tag eine Nachricht an die Kundin, mit der sie auf das Versehen aufmerksam machte und um Rückmeldung bat. Darüber hinaus erhielt die Kundin ebenfalls noch an diesem Tag über Instagram eine weitere Nachricht, in der sie aufgefordert wurde, sich deshalb mit dem "Chef" der Instagram-Nutzerin in Verbindung zu setzen.
Die Klägerin war mit diesem Vorgehen nicht einverstanden und forderte vom Unternehmen ihr mitzuteilen, an welche Mitarbeiter ihre personenbezogenen Daten herausgegeben oder übermittelt worden waren. Außerdem beantragt sie, die Beklagte zu verurteilen, den Mitarbeitern die Nutzung der personenbezogenen Daten der Kundin auf privaten Kommunikationsgeräten zu untersagen.
Das AG hat die Klage abgewiesen. Es war der Ansicht, der Auskunftsanspruch bestehe nicht, da Mitarbeiter eines Unternehmens keine "Empfänger" i.S.d. Art. 15 Abs. 1 lit. c) DSGVO, Art. 4 Nr. 9 DSGVO seien. Die begehrte Verurteilung, den Mitarbeiter der Beklagten die Nutzung der personenbezogenen Daten der Kundin auf ihren privaten Kommunikationsgeräten zu untersagen, sei nicht begründet. Auf die Berufung der Klägerin hat das LG die Entscheidung abgeändert und der Klage stattgegeben.
Die Gründe:
Die Beklagte ist gegenüber der Klägerin dazu verpflichtet, die Namen ihrer Mitarbeiter zu benennen, die in dem Unternehmen erhobene Kundendaten privat verarbeitet haben. Darüber hinaus ist die Beklagte dazu verpflichtet, ihren Mitarbeitern die fortgesetzte Verwendung der personenbezogenen Kundendaten auf ihren privaten Kommunikationsgeräten zu untersagen.
Die DSGVO sieht einen Auskunftsanspruch der Kundin nach Art. 15 Abs. 1 lit. c) DSGVO vor, der sich vorliegend auch darauf erstreckt hat, der Klägerin die Mitarbeiter der Beklagten als Empfänger i.S.v. Art. 4 Ziff. 9 DSGVO zu benennen, denen gegenüber die personenbezogenen Daten der Klägerin offengelegt worden waren und die diese privat verarbeitet hatten, etwa weil sie diese auf einem privaten Account eines sozialen Netzwerks genutzt hatten. Zwar sind Arbeitnehmer eines für die Datenverarbeitung Verantwortlichen grundsätzlich nicht als Empfänger anzusehen. Dies gilt aber nach EuGH-Rechtsprechung (EuGH, Urt. v. 22.6.2023, C-579/21) nur dann, wenn sie unter der Aufsicht des Verantwortlichen und im Einklang mit seinen Weisungen die Daten verarbeiten.
Im vorliegenden Fall hatte zumindest eine Mitarbeiterin der Beklagten zur Klärung von Fragen im Zusammenhang mit dem Kauf eines Fernsehers den Kontakt zu einer Kundin eigenmächtig über ihren privaten Account hergestellt. Da für die Kundin die Nennung der Mitarbeiter erforderlich ist, um die Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten zu überprüfen und ggf. weitere nach der DSGVO zustehende Ansprüche gegen die Mitarbeiter geltend machen zu können, besteht vorliegend ein Auskunftsanspruch auf Nennung der Mitarbeiter. Die vorzunehmende Abwägung der in Rede stehenden Rechte und Freiheiten der Kundin einerseits und der Mitarbeiter andererseits führte im Hinblick darauf, dass die Nutzung der Kundendaten auf privaten Accounts entgegen den Weisungen und den üblichen Gepflogenheiten des Unternehmens eigenmächtig durch die Mitarbeiterin der Beklagten erfolgt war, dazu, dass das Interesse der Mitarbeiter, anonym zu bleiben, nicht schutzwürdig ist und gegenüber den Interessen der Kundin auf Geltendmachung ihrer Ansprüche nach der DSGVO zurückzustehen hat.
Darüber hinaus steht der Kundin nach §§ 823 Abs. 2, 1004 BGB analog i.V.m. Art. 6 Abs. 1 DSGVO ein Anspruch darauf zu, dass die Beklagte ihren Mitarbeitern, die bei ihr erhobene personenbezogene Daten der Klägerin auf privaten Kommunikationsgeräten verwendet hatten, die fortgesetzte Verwendung untersagt. Die Beklagte ist als mittelbare Handlungsstörerin verantwortlich und verpflichtet, die ihren Weisungen unterliegenden Mitarbeiter der Beklagten dazu anzuhalten, die weisungswidrige fortgesetzte Verwendung der in dem Unternehmen erhobenen personenbezogenen Daten der Kundin zu unterlassen.
Mehr zum Thema:
Aufsatz:
Sperrwirkung der DSGVO: Kein Rückgriff auf § 1004 Abs. 1 S. 2 BGB (analog) für Unterlassungsansprüche
Patrick Koetsier / Sascha Kremer
Alles auch nachzulesen im Beratermodul Computer und Recht - CR:
Die umfassende Datenbank zum Recht der Informationstechnologie. Inklusive Selbststudium nach § 15 FAO. Wann immer es zeitlich passt: Für Fachanwälte bietet dieses Modul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!
LG Baden-Baden - Pressemitteilung v. 25.8.2023
Die Klägerin hatte im Juni 2022 bei dem beklagten Unternehmen einen Fernseher und eine Wandhalterung erworben. Dabei wurden ihr der Name und ihre Anschrift erfasst. Wenige Tage darauf gab sie die Wandhalterung wieder zurück, wobei ihr versehentlich der wesentlich höhere Kaufpreis für den Fernseher erstattet wurde. Als der Irrtum bemerkt wurde verfasste eine Mitarbeiterin des Unternehmens über ihren privaten Account eines sozialen Netzwerks noch am gleichen Tag eine Nachricht an die Kundin, mit der sie auf das Versehen aufmerksam machte und um Rückmeldung bat. Darüber hinaus erhielt die Kundin ebenfalls noch an diesem Tag über Instagram eine weitere Nachricht, in der sie aufgefordert wurde, sich deshalb mit dem "Chef" der Instagram-Nutzerin in Verbindung zu setzen.
Die Klägerin war mit diesem Vorgehen nicht einverstanden und forderte vom Unternehmen ihr mitzuteilen, an welche Mitarbeiter ihre personenbezogenen Daten herausgegeben oder übermittelt worden waren. Außerdem beantragt sie, die Beklagte zu verurteilen, den Mitarbeitern die Nutzung der personenbezogenen Daten der Kundin auf privaten Kommunikationsgeräten zu untersagen.
Das AG hat die Klage abgewiesen. Es war der Ansicht, der Auskunftsanspruch bestehe nicht, da Mitarbeiter eines Unternehmens keine "Empfänger" i.S.d. Art. 15 Abs. 1 lit. c) DSGVO, Art. 4 Nr. 9 DSGVO seien. Die begehrte Verurteilung, den Mitarbeiter der Beklagten die Nutzung der personenbezogenen Daten der Kundin auf ihren privaten Kommunikationsgeräten zu untersagen, sei nicht begründet. Auf die Berufung der Klägerin hat das LG die Entscheidung abgeändert und der Klage stattgegeben.
Die Gründe:
Die Beklagte ist gegenüber der Klägerin dazu verpflichtet, die Namen ihrer Mitarbeiter zu benennen, die in dem Unternehmen erhobene Kundendaten privat verarbeitet haben. Darüber hinaus ist die Beklagte dazu verpflichtet, ihren Mitarbeitern die fortgesetzte Verwendung der personenbezogenen Kundendaten auf ihren privaten Kommunikationsgeräten zu untersagen.
Die DSGVO sieht einen Auskunftsanspruch der Kundin nach Art. 15 Abs. 1 lit. c) DSGVO vor, der sich vorliegend auch darauf erstreckt hat, der Klägerin die Mitarbeiter der Beklagten als Empfänger i.S.v. Art. 4 Ziff. 9 DSGVO zu benennen, denen gegenüber die personenbezogenen Daten der Klägerin offengelegt worden waren und die diese privat verarbeitet hatten, etwa weil sie diese auf einem privaten Account eines sozialen Netzwerks genutzt hatten. Zwar sind Arbeitnehmer eines für die Datenverarbeitung Verantwortlichen grundsätzlich nicht als Empfänger anzusehen. Dies gilt aber nach EuGH-Rechtsprechung (EuGH, Urt. v. 22.6.2023, C-579/21) nur dann, wenn sie unter der Aufsicht des Verantwortlichen und im Einklang mit seinen Weisungen die Daten verarbeiten.
Im vorliegenden Fall hatte zumindest eine Mitarbeiterin der Beklagten zur Klärung von Fragen im Zusammenhang mit dem Kauf eines Fernsehers den Kontakt zu einer Kundin eigenmächtig über ihren privaten Account hergestellt. Da für die Kundin die Nennung der Mitarbeiter erforderlich ist, um die Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten zu überprüfen und ggf. weitere nach der DSGVO zustehende Ansprüche gegen die Mitarbeiter geltend machen zu können, besteht vorliegend ein Auskunftsanspruch auf Nennung der Mitarbeiter. Die vorzunehmende Abwägung der in Rede stehenden Rechte und Freiheiten der Kundin einerseits und der Mitarbeiter andererseits führte im Hinblick darauf, dass die Nutzung der Kundendaten auf privaten Accounts entgegen den Weisungen und den üblichen Gepflogenheiten des Unternehmens eigenmächtig durch die Mitarbeiterin der Beklagten erfolgt war, dazu, dass das Interesse der Mitarbeiter, anonym zu bleiben, nicht schutzwürdig ist und gegenüber den Interessen der Kundin auf Geltendmachung ihrer Ansprüche nach der DSGVO zurückzustehen hat.
Darüber hinaus steht der Kundin nach §§ 823 Abs. 2, 1004 BGB analog i.V.m. Art. 6 Abs. 1 DSGVO ein Anspruch darauf zu, dass die Beklagte ihren Mitarbeitern, die bei ihr erhobene personenbezogene Daten der Klägerin auf privaten Kommunikationsgeräten verwendet hatten, die fortgesetzte Verwendung untersagt. Die Beklagte ist als mittelbare Handlungsstörerin verantwortlich und verpflichtet, die ihren Weisungen unterliegenden Mitarbeiter der Beklagten dazu anzuhalten, die weisungswidrige fortgesetzte Verwendung der in dem Unternehmen erhobenen personenbezogenen Daten der Kundin zu unterlassen.
Aufsatz:
Sperrwirkung der DSGVO: Kein Rückgriff auf § 1004 Abs. 1 S. 2 BGB (analog) für Unterlassungsansprüche
Patrick Koetsier / Sascha Kremer
Alles auch nachzulesen im Beratermodul Computer und Recht - CR:
Die umfassende Datenbank zum Recht der Informationstechnologie. Inklusive Selbststudium nach § 15 FAO. Wann immer es zeitlich passt: Für Fachanwälte bietet dieses Modul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!